In-depth Anti-Hack PHP Application Security: From Basic to Advanced

PHP developers often joke that "it's nice to have code that works", but sometimes it's that "working" that opens the door for hackers. I used to trashtalk like that until a small SQL Injection crashed the customer's database, wiping out all data overnight. This article is not a theory, but rather the hard-earned experience that Pham Hai has gathered after more than 10 years of fighting with PHP vulnerabilities. It will help you immediately patch the most deadly weaknesses to comprehensively secure PHP applications against hacking, protecting the safety of your system and your own reputation.

Top 3 fatal PHP vulnerabilities and how to handle them "in one shot"

The top 3 most common PHP security holes today are always named SQL Injection, XSS and RCE via File Upload. Understanding these types of attacks is the first step to protecting system security.

According to the latest OWASP Top 10 list updated in early 2026, errors related to Injection and Access Control are still at the top. Learning PHP security from basic to advanced requires going through these 3 "gates" of death before thinking about more macro things.

SQL Injection (SQLi): When just one quote (') causes the entire database to disappear

SQL Injection (SQLi) là kỹ thuật hacker chèn mã SQL độc hại qua input để thao túng database. Cách phòng chống SQL Injection trong PHP triệt để nhất là luôn sử dụng Prepared Statements và Parameterized Queries thay vì nối chuỗi trực tiếp.

Hồi mới vào nghề, mình toàn nối chuỗi SQL kiểu SELECT * FROM users WHERE username = '$user'. Đây là hành động tự sát! Các loại tấn công SQL Injection hiện nay cực kỳ tinh vi. Chỉ cần người dùng nhập vào ô username chuỗi ' OR '1'='1, câu lệnh lập tức trở thành đúng với mọi user, và hacker dễ dàng bypass màn hình đăng nhập. Nặng nề hơn, chúng có thể dùng lệnh DROP TABLE để xóa sổ mọi thứ.

Để khắc phục, bạn phải bỏ ngay thói quen dùng mysqli_query với chuỗi nối. Hãy chuyển sang dùng PDO (PHP Data Objects) với cơ chế prepare. Khi dùng prepare(), cơ sở dữ liệu sẽ biên dịch sẵn cấu trúc câu SQL, còn dữ liệu người dùng nhập vào chỉ được xem là tham số (parameter) thuần túy, hoàn toàn không có khả năng thực thi.

Besides safe coding, if you are administering a CMS system, Optimizing mysql wordpress database also contributes to helping the server run smoothly and reducing the risk of system crashes when bots automatically scan SQLi continuously.

Cross-Site Scripting (XSS): Don't let hackers "borrow" the user's browser to do mischief

Cross-Site Scripting (XSS) xảy ra khi ứng dụng in dữ liệu đầu vào ra trình duyệt mà không qua xử lý. Chống XSS trong ứng dụng PHP bắt buộc phải thực hiện Sanitization bằng cách dùng hàm htmlspecialchars() hoặc htmlentities() để làm sạch dữ liệu.

Các loại tấn công XSS (như Stored XSS, Reflected XSS hay DOM-based XSS) không phá server của bạn, mà chúng nhắm thẳng vào khách truy cập. Hacker sẽ chèn một đoạn mã JavaScript độc hại vào phần bình luận bài viết. Khi một người dùng khác (hoặc chính admin) mở bài viết đó lên, đoạn script sẽ âm thầm chạy trên trình duyệt, đánh cắp cookie và gửi về server của kẻ gian.

The golden rule at Pham Hai when reviewing code is: "Never trust data from the client". You must perform Input Validation (check the validity of the input) and especially encode the output.

Remote Code Execution (RCE) via File Upload: One mistake, goes to the whole server

Thực thi mã từ xa (RCE) trong PHP qua File Upload cho phép kẻ tấn công tải lên webshell và chiếm quyền điều khiển server. Để bảo mật file upload PHP, phải kiểm tra chặt chẽ MIME type, tự động đổi tên file và cấm thực thi mã ở thư mục chứa ảnh.

Tháng 1/2026 vừa qua, giới bảo mật phen điêu đứng với lỗ hổng CVE-2025-70457 cho phép RCE qua một ứng dụng Image Gallery viết bằng PHP. Hacker chỉ cần upload một file .php ngụy trang thành ảnh là có thể chạy lệnh hệ thống từ xa. Lỗi Command injection và RCE là án tử cho mọi website.

Khi code tính năng upload, đừng bao giờ giữ lại tên file gốc do người dùng đẩy lên. Hãy dùng hàm uniqid() kết hợp mã băm để tạo tên file mới. Đồng thời, không được chỉ dựa vào đuôi mở rộng (extension) mà phải kiểm tra MIME type thực sự của file bằng finfo_file.

This vulnerability is extremely dangerous. Một khi hacker đã upload được webshell, chúng sẽ chiếm quyền hệ thống. Therefore, Securing your Linux VPS against hacking attacks from the operating system layer is the last stop you cannot ignore to limit the damage.

Upgrade your protective "fence" with other key techniques

In addition to the top 3 mentioned above, comprehensive website security vulnerability prevention requires you to handle Session, CSRF and File Inclusion related vulnerabilities well. At Pham Hai, we realize that many developers are very good at algorithms but forget these small security configurations.

Preventing CSRF attacks: Don't let users accidentally "shoot themselves in the foot"

Cross-Site Request Forgery (CSRF) mượn danh tính người dùng đã đăng nhập để gửi request trái phép. Cách ngăn chặn tấn công CSRF PHP chuẩn nhất là sinh ra và đính kèm một CSRF Token duy nhất vào mỗi form submit.

Imagine you are logging into the admin web, then accidentally click on a strange link sent by someone via chat. That link implicitly sends a POST request to the account deletion URL on your system. Because the browser automatically attaches the login cookie, the server will think it is you who performed the deletion command.

Để chặn đứng trò này, mỗi khi render một form HTML, bạn hãy tạo ra một chuỗi ngẫu nhiên lưu vào Session, đồng thời nhúng nó vào một thẻ <input type="hidden">. Khi form được submit, PHP sẽ kiểm tra xem token gửi lên có khớp với token trong Session hay không. Nếu sai, lập tức chặn request.

Session and Cookie Security: Where to keep the "house key" safely?

Session và Cookie là chìa khóa định danh người dùng, nếu quản lý lỏng lẻo sẽ dẫn đến Cookie hijacking. Session Security in PHP requires enabling HTTPOnly, Secure flags, and regularly regenerating Session ID.

Insecure Session Management error is the cause of a series of account losses. If hackers steal your Session ID (through XSS or because you use unencrypted public Wi-Fi), they can paste that Session ID into their browser and automatically log in as admin without a password. This behavior is called Session fixation and Hijacking.

Hãy mở file php.ini lên và cấu hình ngay session.cookie_httponly = 1 để cấm JavaScript can thiệp vào cookie. Tiếp theo, bật session.cookie_secure = 1 để đảm bảo cookie chỉ được truyền tải qua đường truyền HTTPS an toàn. Khi người dùng login thành công, bắt buộc phải gọi hàm session_regenerate_id(true) để cấp một Session ID hoàn toàn mới.

If you don't want to hand-code these complex features yourself, turn to a framework. The Laravel framework PHP tutorial from scratch will show you how Laravel automates session protection and CSRF token generation.

File Inclusion Vulnerability (LFI/RFI): Immediately block crooks from asking to "include" malicious code

File Inclusion Vulnerabilities xảy ra khi hàm include hoặc require nhận đường dẫn từ biến người dùng mà không kiểm tra. Khắc phục bằng cách dùng mảng Whitelist để chỉ định chính xác file nào được phép nạp.

Nhiều bạn có thói quen làm router đơn giản kiểu include($_GET['page'] . '.php');. Lối code này siêu tiện nhưng cũng siêu nguy hiểm. Hacker sẽ đổi tham số thành ?page=../../../../etc/passwd để đọc tệp mật khẩu của máy chủ Linux (LFI), hoặc chèn URL chứa mã độc từ server của chúng (RFI). Hãy định nghĩa sẵn một mảng chứa tên các trang hợp lệ và dùng in_array() để kiểm tra trước khi include bất cứ thứ gì.

Building an impregnable "fortress": Best Practices and tools for you

Tại sao bảo mật PHP quan trọng? Vì dữ liệu là sinh mệnh của doanh nghiệp, mất dữ liệu là mất tất cả. Để duy trì an toàn lâu dài, bạn cần áp dụng các best practices bảo mật PHP như cập nhật phiên bản, cấu hình server chặt chẽ và sử dụng các công cụ bảo mật PHP tự động.

Always update PHP versions and libraries: Don't use "old-fashioned" stuff

Old versions of PHP contain many of the latest PHP security vulnerabilities that have been announced (CVE). Updating PHP regularly helps patch bugs and deal with software supply chain risks.

In early 2026, vulnerabilities CVE-2025-14177 and CVE-2025-14180 related to memory overflow in PHP core shook many servers. If you are still holding on to PHP 7.x or 8.x versions that have reached end of support (EOL), your server can crash or leak information with just one malicious request. The 2025 OWASP Top 10 rankings also put "Software Supply Chain Failures" at number 3, warning about the dangers of infected third-party libraries.

When upgrading the language version, reviewing the source code is mandatory. Especially check the Complete PHP MySQL CRUD Connection modules to ensure they do not use deprecated (outdated) database functions and are fully compatible with the latest PDO.

Server configuration and .htaccess: Optimize the first layer of defense for those using Shared Hosting

Bảo mật PHP trên shared hosting phụ thuộc nhiều vào cấu hình file .htaccess và php.ini. Hãy tận dụng disable_functions để vô hiệu hóa các hàm nguy hiểm và luôn sử dụng SSL/TLS.

Với anh em dùng Shared Hosting, quyền can thiệp vào sâu hệ thống server là con số không. Lúc này .htaccess chính là vị cứu tinh. Để chặn hacker chạy webshell trong thư mục upload ảnh, bạn hãy tạo một file .htaccess nằm ngay trong thư mục uploads/ với nội dung php_flag engine off. Lệnh này cấm tuyệt đối việc biên dịch mã PHP tại thư mục đó.

Trong cấu hình PHP, hãy áp dụng quy tắc Phân quyền tối thiểu (Least Privilege) bằng cách dùng chỉ thị disable_functions = exec, shell_exec, system, passthru để bẻ gãy khả năng chạy lệnh hệ điều hành của webshell. Đừng quên thiết lập Mã hóa dữ liệu và Error Handling chuẩn: tắt hiển thị lỗi (display_errors = Off) trên môi trường production để tránh lộ cấu trúc thư mục.

For projects using open source code, wordpress website security on a shared hosting environment requires you to set file (chmod 644) and folder (chmod 755) permissions extremely carefully to avoid local attacks.

Another small but effective trick is Securing wp-config.php htaccess file. Adding a few command lines that block direct access to this configuration file will protect database connection information from sensitive file scanning attacks.

Introducing some automated vulnerability testing "assistants": OWASP ZAP, Snyk and Progpilot

Tìm lỗ hổng bảo mật trong code PHP bằng mắt thường rất dễ sai sót. Hãy trang bị các công cụ kiểm tra bảo mật ứng dụng PHP như Snyk, Progpilot (SAST) và OWASP ZAP (DAST) vào quy trình CI/CD.

No one can detect errors 100% with human strength. SAST (Static Application Security Testing) tools like Progpilot will directly read your PHP source code and highlight lines of code that are at risk of SQLi or XSS. It's too convenient to detect errors right while typing code.

Trong khi đó, DAST (Dynamic Application Security Testing) như OWASP ZAP sẽ đóng vai một hacker thực thụ. It automatically fires thousands of payloads into a running website (via HTTP) to see if the application crashes or returns sensitive data. Combined with Snyk to scan vulnerabilities in Composer packages, you will have an invisible Web Application Firewall (WAF) layer that protects the project from the bud.

PHP application security is not a one-time thing, it is a process of constant vigilance and updating. But don't worry too much, just start by patching the biggest vulnerabilities like SQLi, XSS, RCE and you have reduced the risk of being hacked by more than 80%. Safety for the application is also safety for our brothers' "rice cooker", helping the system operate smoothly and maintain customer trust.

Do you know any other cool PHP security tips that I haven't mentioned yet? Or do you have any anti-hacking "trophies" you want to show off to your friends in the industry? Please share in the comments section below so our dev community can learn together!

Lưu ý: Các thông tin trong bài viết này chỉ mang tính chất tham khảo. Để có hướng giải quyết tối ưu nhất, vui lòng liên hệ trực tiếp với chúng tôi để được tư vấn cụ thể dựa trên nhu cầu thực tế của bạn.